基于特征属性模糊相似度入侵警报聚合算法.PDFVIP

基于特征属性模糊相似度的入侵警报聚合算法 王雅洁 （咸阳师范学院数学与信息科学学院，陕西 咸阳，712000 ） 摘要：分布式入侵检测系统的一个显著缺陷是会产生大量的重复警报。为有效消除警报冗余，改善入侵检 测的效果和性能，本文提出了一种基于特征属性模糊相似度的入侵警报聚合算法。该算法基于模糊逻辑， 综合分析警报的攻击类型特征、时间特征、空间特征三维属性，通过分别定义具体的隶属函数，按照攻击 类型和时空特征属性模糊相似度对入侵警报进行聚合，比传统的精确匹配法和概率统计方法更适合于处理 入侵警报信息的相似性。 关键词：警报聚合；入侵检测；模糊逻辑 1 引言 入侵检测系统(Intrusion Detection System, IDS)是网络安全防卫体系中的关键部件。为了提高检测率， 在一个实际的分布式网络系统中往往需要配置多套IDS 设备。由于网络上不同的IDS 针对同一个安全事件 都可能分别发出警报，即使是同一个IDS 也可能对某个安全事件发出多个警报。多个异类IDS 的协同配置 在有效增强网络系统安全性的同时，会产生大量的重复报警或警报冗余，从而给安全分析与管理工作造成 沉重负担。警报聚合是对冗余警报进行聚类、合并处理的必要过程。目前常用的警报聚合方法主要是通过 直接判断警报的攻击类型、源宿地址、时戳信息等特征属性是否完全相同(精确匹配法) ，或者基于概率与 统计分析的相似度算法(可能性理论)[1-2] 。本文认为模糊理论比精确匹配法和可能性理论更适合于处理入侵 警报信息在雷同或相似“程度”上的不确定性，因此本文算法基于模糊逻辑，综合分析警报的攻击类型特征、 时间特征、空间特征三维属性，通过分别定义具体的隶属函数，按照模糊相似度对入侵警报进行聚合。 2 算法基本原理 本算法的基本思想是依据如下经验知识：两个警报的攻击类型特征相同程度越高，越有可能属于同一 个攻击过程；两个警报的时间间隔越短，越有可能属于同一个攻击过程；两个警报的源地址相近程度越高， 越有可能属于同一个攻击过程。 首先，对于攻击类型特征属性，从抽象到具体(如attack-class, attack-type, sub-type,…, name)，建立攻击 特征类属Classification 层次关系。文献[3]指出网络攻击可按攻击意图划分为四类：发现类(Discover)、扫描 类(Scan)、拒绝服务类(DoS)、权限提升(Escalation) 。例如IP-Sweep 属于发现类，Port-Scan 属于扫描类， SYN-Flood 属于拒绝服务类，Buffer-Overflow 属于权限提升类。警报属性分类简化了聚合算法，并提高了 警报聚合效率，因为只有从属于同一类别的警报才有可能被聚合在一起。 在不同的警报分类下，时间、空间属性相似度有不同的考虑方法和侧重点，讨论如下： 1)发现类攻击警报主要是攻击者要探询某些IP 、域名或者网络是否存在，通常会在较短时间内发出大 量查询信息，因此源IP 地址需要较大程度上精确匹配，目标IP 至少需要网络地址匹配，查询时间间隔比 较短，因此对于发现类警报主要考虑这三种属性值，另外还可以通过字符串属性来判断其查询的域名是否 类似等； 2)扫描类警报往往通过端口扫描和漏洞扫描工具进行，因此此类警报主要是目标IP 地址精确匹配，源 IP 地址网络匹配( 因为有时其会发出一些伪造的IP 地址包) ，格式串也很重要，因为同一种工具发出的数据 包往往有一些相同的特征在里面，时间属性也需要重视，有的扫描会在短时间内发出大量包，但是有的扫 描比较隐蔽，比如可能隔几分钟或者发出一个包，可以把时间间隔设置得比较大来聚合这类扫描警报，这 就需要动态调节时间； 3)拒绝服务类警报通常由大量主机协同进行，因此对源IP 地址的匹配并无多大意义，主要考虑的是目 标IP 和端口精确匹配，时间间隔很短，攻击数据报通常也是类似的，因此数据包大小和格式串的匹配有时 也可占一定权重； 1 4)权限提升类警报一般是针对某一网络内所有主机或者单个目标主机以自动方式运行远程攻击程序， 因此主要考虑目标网络和目标端口的精确匹配，通常源IP 地址即为攻击者 IP ，因为攻击程序相同，因此 数据报特征必然相同，同时时间间隔也很小。 本算